PVM update voor certificaatvervanging

PVM update voor certificaatvervanging

Wat moet ik doen?

Wij bereiden een update voor de PVM voor. Reeds geïnstalleerde versies kunnen probleemloos het resterende deel van 2020 gebruikt worden. Voor de periode daarna moet de software worden bijgewerkt met nieuwe certificaten. De software zal een melding geven zodra er een update beschikbaar is. Het is van belang om deze voor het einde van het jaar te installeren. De eerste nieuwe versies zijn reeds beschikbaar gemaakt voor een deel van de gebruikers. Wij zorgen er in overleg met onze opdrachtgevers voor dat de nieuwe software tijdig beschikbaar komt voor alle gebruikers.

Waarom is dat nodig?

ZorgTTP maakt gebruik van digitale certificaten voor het beveiligen van de dienstverlening. Deze worden verstrekt door leverancier QuoVadis. Het toezichthoudende orgaan CA/Browserforum (CAB) heeft manco’s ontdekt in de kenmerken van door diverse Certificate Authorities (CA’s) verstrekte certificaten die misbruik mogelijk maken. Intrekking van de geraakte CA’s wordt daarom door het CAB geëist. Ook de door ZorgTTP gebruikte QuoVadis EU Advanced CA G1 valt hieronder. QuoVadis is met CAB overeengekomen om de CA per 31 december 2020 in te trekken. Zie ook het nieuwsbericht van QuoVadis.

Hoe herken ik of ik over de juiste versie van de software beschik?

In het verwerkingsverslag dat van iedere verwerking wordt gemaakt kunt u onder de kop afnemercontrole nagaan door welke CA het certificaat is uitgegeven. Als daar QuoVadis Trust Anchor Issuing CA G2 staat dan beschikt u over de juiste certificaten. Hou in alle andere gevallen in de gaten wanneer de module om een update vraagt.

Vragen?

Heeft u vragen naar aanleiding van dit bericht? Neem dan contact op met onze servicedesk.

ZorgTTP aanwezig op congres Gegevensuitwisseling in de Zorg – van parel tot ketting

ZorgTTP aanwezig op congres Gegevensuitwisseling in de Zorg – van parel tot ketting

Op 18 september vindt het congres ‘Gegevensuitwisseling in de zorg – van parel tot ketting’ plaats. Het evenement brengt succesvolle casussen onder de aandacht van gegevensuitwisseling tussen patiënten, zorgverleners, onderzoekers en beleidsmakers. ZorgTTP neemt deel als leverancier en geeft graag informatie over hoe wij helpen om medische gegevens voor onderzoek en beleid op veilige wijze toegankelijk te maken. Bijvoorbeeld met innovatieve projecten op het gebied van Multi Party Computation (MPC) en de ontwikkeling van een pseudonimisatiedienst voor de academische centra in Nederland. Met plezier vertellen we u hierover.

Dagvoorzitter Gert-Jan van Boven, directeur van Dutch Hospital Data (DHD) vertelt in deze video over het grote belang van dit congres voor de gezondheidszorg: https://www.youtube.com/watch?v=52oWvat4hL8&feature=youtu.be.

Het congres wordt georganiseerd door MedicalPHIT en zal plaatsvinden in evenementenlocatie Inn Style te Maarssen. Uiteraard wordt daarbij rekening gehouden met de richtlijnen van het RIVM. Meer informatie is te vinden op de website: https://phit.nl/nl/congres-gegevensuitwisseling-de-zorg-van-parel-tot-ketting

 

EU-U.S. Privacy shield ongeldig verklaard

EU-U.S. Privacy shield ongeldig verklaard

Het Europese Hof van Justitie heeft op 17 juli een uitspraak gedaan met grote consequenties; het EU-U.S. Privacy Shield is ongeldig verklaard. De voornaamste aanleiding voor het nietig verklaren is gelegen in de bevoegdheid van Amerikaanse inlichtingen- en veiligheidsdiensten om gegevens van Europese burgers in te zien en gebruiken. Daarbij worden volgens het Hof de principes van noodzakelijkheid en proportionaliteit onvoldoende toegepast. Europese betrokkenen hebben daarnaast geen mogelijkheid tot het indienen van een beroep of een klacht.

Gevolg uitspraak

Door ongeldig verklaren van het Privacy Shield voldoen organisaties die gegevens van Europese burgers verwerken in de V.S. niet langer aan de Algemene Verordening Gegevensbescherming (AVG).

Geen impact op door ZorgTTP verwerkte gegevens

ZorgTTP treedt namens diverse organisaties op als Verwerker in de zin van de AVG. Alle productiesystemen van ZorgTTP worden binnen de werkingssfeer van de AVG gehost. Dat betekent dat persoonsgegevens die met software van ZorgTTP worden verwerkt te allen tijde binnen de Europese Economische Ruimte (EER) blijven. Er worden geen gegevens verwerkt in de V.S. en er is geen sprake van data-uitgifte aan partijen binnen dat gebied. De uitspraak van het Hof heeft daarom geen gevolgen voor de verwerkingen die door ZorgTTP worden uitgevoerd namens de Verwerkingsverantwoordelijken. Mocht u vragen hebben over dit onderwerp, neem dan gerust contact met ons op.

Verder lezen?

De Autoriteit Persoonsgegevens over deze uitspraak. De International Association of Privacy Professionals (IAPP) geeft tevens een toelichting.

Sleutelceremonie vlekkeloos verlopen Pseudonimisering persoonsgegevens weer ‘future proof’

Sleutelceremonie vlekkeloos verlopen Pseudonimisering persoonsgegevens weer ‘future proof’

ZorgTTP is een autoriteit als het gaat om pseudonimisering van persoonsgegevens. Dat vinden ook het ministerie van VWS, de Nederlandse zorgautoriteit en het Zorginstituut. Daarom is ons via een openbare aanbesteding opnieuw de opdracht gegund persoonsgegevens te pseudonimiseren. Woensdag 7 juli werden de geheime sleutels waarmee pseudoniemen gemaakt worden overgezet naar de nieuwe beveiligde hardware. Vertegenwoordigers van de opdrachtgevers waren fysiek en op afstand via een livestream getuige van de zogenaamde key ceremony. ZorgTTP-directeur Hans van Vlaanderen en projectleider Thomas Waslijah vertellen wat aan dit moment vooraf ging.

Deze opdracht bouwt voort op de bestaande opdracht. Hans: “De vorige aanbesteding is 5 jaar geleden ook door ons gewonnen. Dus we kennen de techniek en procedures al. Onderdeel van deze aanbesteding was het moderniseren en ‘future proof’ maken van hard- en software.”

Betrouwbare beveiliging is essentieel

De software die de data versleutelt is opgeslagen in een Hardware Security Module (HSM) in een beveiligd datacenter. De HSM is zo beveiligd dat bij oneigenlijke fysieke toegang een alarm afgaat en het sleutelmateriaal wordt vernietigd. “Dat klinkt als een scene uit een James Bond film”, aldus Hans. “Maar er gaan echt miljarden records over de lijn met alle zorg- en inkomensgegevens van Nederlanders. Het is dus erg gevoelige informatie. Dan is een betrouwbare beveiliging essentieel.”

Beveiligd met sleutels en pincodes

Thomas heeft samen met collega André Kaldenhoven de sleutelceremonie voorbereid. “Ik heb gezorgd dat alles organisatorisch goed liep en heb de procedure uitgeschreven en vastgelegd. De HSM is beveiligd met meerdere beveiligingssleutels en pincodes zodat de pseudonimisatiesleutels nooit in leesbare vorm geëxporteerd kunnen worden. De transportsleutels staan in delen op keycards. Deze liggen zowel bij ons als bij de klant in een kluis. Zonder beide delen kan de overdracht niet plaatsvinden. Dan is het best even spannend of door personeelswisselingen bij de klant alle pasjes en pincodes nog in het bezit zijn. Gelukkig was alles nog in tact en is de ceremonie vlekkeloos verlopen.”

 

Goede voorbereiding essentieel

Voor nood was een plan B gemaakt. Thomas: “Er lag een scenario op de plank voor als we geen verbinding met de server konden krijgen of als pasjes en pincodes niet meer werkten.” Dat rekening moet worden gehouden met onverwachte situaties bleek wel bij de voorbereiding van deze ceremonie, vertelt Hans. “Op een gegeven moment leek het er op dat de softwaredrivers van de HSM cardreaders niet meer compatible waren met onze computers. Het was een heel gedoe om de ze weer aan de praat te krijgen. Gelukkig is collega André daar samen met leverancier Utimaco in geslaagd. Zoiets toont wel aan dat een goede voorbereiding essentieel is en je goed in de gaten moet houden dat het serviceniveau op peil blijft.”

 

 

 

Wondzorg app met TRES beveiliging live

Wondzorg app met TRES beveiliging live

Op 31 oktober 2019 is de app voor de Landelijke Wondzorg App Implementatie Studie gelanceerd. Het is de eerste mobiele applicatie die gebruik maakt van onze encryptiedienst TRES voor het beveiligen van privacygevoelige gegevens binnen een studie. De app is door het LUMC in samenwerking met Innovattic ontwikkeld en wordt in een samenwerkingsverband van ziekenhuizen ingezet om wondgerelateerde post-operatieve complicaties eerder te kunnen detecteren. De deelnemende patiënten vullen gedurende een periode dagelijks een digitale vragenlijst in. De app waarschuwt de patiënt wanneer contact met de arts gewenst is. De arts kan de gegevens ter voorbereiding op het consult gebruiken. Met de verzamelde gegevens worden risico’s op complicaties in kaart gebracht en kan de behandeling worden verbeterd. Wij zijn trots een bijdrage te mogen leveren aan deze studie.

Deze video van het LUMC geeft een mooie toelichting: